Human-Centred LLM Privacy Audits: Findings and Frictions

Questo studio presenta LMP2, uno strumento di auto-audit basato sul browser, e attraverso due ricerche con 458 partecipanti evidenzia come i modelli linguistici possano inferire informazioni personali, rivelando al contempo le sfide e le frizioni nell'operazionalizzare audit sulla privacy centrati sull'utente per l'intelligenza artificiale generativa.

L'essenziale

Ecco una spiegazione semplice e creativa del paper, pensata per chiunque, anche senza conoscenze tecniche.

🕵️‍♂️ Il "Ritratto Invisibile" che l'Intelligenza Artificiale si fa di te

Immagina che ogni volta che parli con un'Intelligenza Artificiale (come ChatGPT), lei non stia solo ascoltando le tue parole, ma stia anche disegnando un ritratto invisibile di chi sei. Questo ritratto è fatto di pezzi di informazioni che ha raccolto da internet: il tuo nome, la tua città, cosa fai, cosa ti piace, e forse anche cose che non hai mai detto a nessuno.

Il problema? Tu non puoi vedere questo ritratto. Non sai se l'IA pensa che tu sia un medico, se sa che vivi a Milano, o se associa il tuo nome a certi stereotipi. È come se qualcuno ti stesse osservando da dietro un vetro fumato e scrivendo note su di te, ma tu non potessi mai leggere quelle note.

🛠️ La soluzione: LMP2, lo "Specchio Magico"

Gli autori di questo studio (un gruppo di ricercatori di Berlino e New York) hanno creato uno strumento chiamato LMP2.
Pensa a LMP2 come a uno specchio magico o a un detective privato che puoi usare dal tuo browser.

Ecco come funziona il "trucco":

1. Entri nel laboratorio: Scrivi il tuo nome vero.
2. Fai le domande: Scegli quali aspetti della tua vita vuoi controllare (es. "Qual è il mio colore degli occhi?", "Dove vivo?", "Qual è la mia professione?").
3. Il test: LMP2 non chiede direttamente all'IA "Chi è Mario Rossi?". Invece, gioca a un gioco di completamento di frasi. Dice all'IA: "Il nome di Mario Rossi è... [frase spezzata]" e vede cosa l'IA completa.
4. Il risultato: Ti mostra una "Scheda Risultati" che ti dice: "Ehi, l'IA associa il tuo nome a 'Occhi azzurri' con il 74% di sicurezza" oppure "Pensa che tu viva a Londra".

📊 Cosa hanno scoperto? (Le Sorprese)

Hanno fatto due tipi di esperimenti: uno con famosi (celebrità) e uno con persone normali (come te e me).

1. I Famosi sono "nudi": Per le persone famose, l'IA è bravissima. Se chiedi a un'IA chi è Harry Potter, ti dirà subito che vive a Hogwarts. Per i veri famosi, l'IA ricorda quasi tutto quello che c'è su Wikipedia.
2. Le persone normali sono "indovinate": Qui diventa interessante. Anche per persone comuni, l'IA è sorprendentemente brava a indovinare cose.
   • Hanno testato GPT-4o su 50 caratteristiche diverse.
   • Ha indovinato correttamente il sesso nel 94% dei casi, l'orientamento sessuale nell'83%, la lingua madre nel 78% e persino il colore degli occhi nel 74%.
   • Il paradosso: Anche se l'IA indovina bene, molte persone non pensano che sia una violazione della privacy. Tuttavia, il 72% delle persone intervistate ha detto: "Vorrei poter cancellare o correggere queste informazioni se sono sbagliate".

⚠️ I 9 "Attriti" (Perché è tutto così complicato?)

Il paper non si limita a dire "l'IA sa cose su di te", ma spiega perché è difficile fare qualcosa al riguardo. Immagina di dover pulire una casa piena di specelli rotti: ecco i problemi principali (gli "attriti"):

1. Non è una verità assoluta, è una scommessa: L'IA non "ricorda" come un umano. Fa ipotesi. Se l'IA dice che vivi a Roma, potrebbe essere vero perché l'ha letto, oppure perché ha indovinato basandosi sul tuo nome. È difficile distinguere un ricordo reale da un'ipotesi fortunata.
2. Il gioco delle tre carte: Se cambi leggermente la domanda (parafraasi), l'IA potrebbe darti una risposta diversa. È come chiedere a un amico "Dove vivi?" e poi "Qual è la tua città di residenza?": potrebbe dirti cose diverse. Questo rende difficile avere una prova solida.
3. Chi è il colpevole? Se l'IA sbaglia e dice che sei un criminale, è colpa del modello? Del sito web da cui ha preso i dati? O dell'algoritmo che ha deciso di mostrartelo? È tutto un groviglio.
4. I nomi sono ambigui: Se ti chiami "Mario Rossi", l'IA potrebbe confonderti con un altro Mario Rossi famoso. Ma se ti chiami "Mario Rossi" e sei un medico, l'IA potrebbe associarti a cose sbagliate basandosi su stereotipi.
5. La verità cambia: I dati invecchiano. Se l'IA pensa che vivi a Milano, ma ti sei trasferito a Roma ieri, l'IA non lo sa. Come fai a farle "dimenticare" il vecchio dato?
6. Non solo fatti, ma giudizi: L'IA non sa solo i tuoi dati, ma può inventare giudizi. "Mario è una persona gentile". È un dato personale? È vero? È difficile da controllare.
7. Lingua e cultura: Il loro strumento funziona bene in inglese. Ma per chi parla altre lingue o usa altri alfabeti? L'IA potrebbe essere molto meno precisa o molto più sbagliata.
8. Le persone evitano i temi scottanti: Quando hanno dato il tool alle persone, molti hanno scelto di controllare cose "leggere" come il colore dei capelli, ma hanno evitato cose sensibili come le malattie o il numero di telefono, per paura. Questo significa che non vediamo tutto il problema.
9. Il sistema cambia: Le IA di oggi usano anche internet in tempo reale. Quindi, la risposta che ti danno oggi potrebbe essere diversa da quella di domani. Come fai a fare una "fotografia" stabile della tua privacy?

💡 La Conclusione: Cosa dobbiamo fare?

Il messaggio finale è che non possiamo fidarci ciecamente di queste macchine.
L'IA sta creando un "doppio digitale" di noi, fatto di dati reali e di ipotesi.

• Dobbiamo avere il controllo: Le persone vogliono sapere cosa l'IA pensa di loro e vogliono poter correggere gli errori (il "diritto all'oblio").
• Serve trasparenza: Gli strumenti come LMP2 sono un primo passo, ma dobbiamo capire che l'IA non è un libro di storia, è un indovino molto abile.
• Non è solo un problema tecnico: È un problema sociale. Dobbiamo decidere come vogliamo che le macchine ci vedano e come possiamo proteggerci quando fanno "ipotesi" su di noi.

In sintesi: L'IA ci sta guardando e scrivendo note su di noi. Noi abbiamo bisogno di uno specchio per leggere quelle note e di una gomma per cancellare quelle sbagliate.

Sommario tecnico

Ecco un riassunto tecnico dettagliato del paper "Human-Centred LLM Privacy Audits: Findings and Frictions" in italiano.

1. Il Problema

I Large Language Models (LLM) apprendono associazioni statistiche da corpora di addestramento massicci e interazioni utente, potendo successivamente esporre o inferire informazioni sensibili sugli individui. Tuttavia, esiste un vuoto critico: gli utenti non dispongono di metodi pratici per ispezionare cosa un modello associ al proprio nome o alla propria identità.
Le attuali pratiche di audit (organizzative o tecniche) non permettono agli individui di verificare le "associazioni basate sul nome" (name-conditioned associations) che un modello ha appreso, né di contestarle. Questo crea rischi di:

• Violazione dell'integrità contestuale dei dati.
• Danni individuali derivanti da inferenze errate, esposizione o discriminazione.
• Concentrazione del potere informativo senza trasparenza.
  Inoltre, l'audit basato sull'output di modelli probabilistici e "black-box" presenta sfide metodologiche: gli output sono stocastici, sensibili alle scelte di elicitaione (prompting) e difficili da validare come prove certe di memorizzazione o inferenza.

2. Metodologia e Strumento (LMP2)

Gli autori introducono LMP2 (Language Model Privacy Probe), uno strumento di auto-audit basato su browser progettato per rendere osservabili e contestabili queste associazioni.

• Approccio Tecnico: Lo strumento adatta la tecnica delle "canarie" (canary probing) alle API black-box. Invece di chiedere direttamente al modello di rivelare dati, LMP2 frammenta l'input.
  • Vengono selezionati 50 attributi umani (es. data di nascita, occupazione, numero di telefono) tratti da WikiMem.
  • Per ogni attributo, si generano fino a 5 parafrasi di frasi "canaria" che affermano una triade (Soggetto, Proprietà, Valore).
  • Meccanismo di Query: I valori reali (ground truth) vengono troncati a un prefisso di due caratteri. Vengono generati 20 prefissi "controfattuali" casuali. Il modello viene istruito a completare solo l'ultima parola o le ultime parole della frase frammentata.
• Metriche di Output:
  • Forza di Associazione (Association Strength): Combina la frequenza con cui un valore viene prodotto e la sua probabilità media (o peso del voto), normalizzata sui candidati principali.
  • Confidenza (Confidence): Misura quanto le evidenze sono concentrate su un singolo valore rispetto a una distribuzione dispersa.
• Interfaccia Utente: Gli utenti inseriscono il nome completo, selezionano gli attributi da testare e ricevono "Schede Risultato" con le previsioni principali, i punteggi di confidenza e la possibilità di fornire feedback su accuratezza e preoccupazioni per la privacy.

3. Risultati Chiave

Lo studio include due fasi principali: un'audit empirica su 8 modelli LLM e studi con utenti reali (N totale = 458).

A. Audit Empirica (8 Modelli: GPT-4o, GPT-5, Gemini, Grok-3, Cohere, Qwen, Llama, Ministral)

• Separazione per Soggetto: I modelli mostrano una chiara distinzione tra individui famosi (con ampia presenza web) e nomi sintetici (inesistenti). Per i famosi, le associazioni basate sul nome sono stabili e ad alta confidenza.
• Performance sui Famosi: I modelli API (specialmente GPT-4o e GPT-5) replicano con alta precisione (spesso >0.8) attributi sensibili come religione, orientamento sessuale e appartenenza politica.
• Errori ad Alta Confidenza: Per nomi inesistenti, i modelli tendono a "indovinare" basandosi su prioristiche di popolazione (es. assumere "ambidestro" per la manualità o "+1" per il prefisso telefonico) con alta confidenza. Ministral 8B è l'eccezione, mostrando una distribuzione quasi uniforme per i nomi sintetici.
• Differenze di Modello: I modelli API più grandi sono significativamente più accurati sui dati famosi rispetto ai modelli open-source più piccoli.

B. Studi con Utenti (Residenti UE)

• Interesse e Preoccupazioni: Il 60% dei partecipanti è interessato a uno strumento di auto-audit. Le maggiori preoccupazioni riguardano la rivelazione di numeri di telefono, condizioni mediche e residenza.
• Comportamento di Selezione: Nonostante le preoccupazioni, gli utenti evitano di testare attributi ad alta sensibilità (es. <3% ha scelto "numero di telefono" o "condizione medica"), preferendo tratti a bassa sensibilità come il colore degli occhi o dei capelli.
• Performance su Utenti Reali: GPT-4o ha previsto correttamente 11 su 50 attributi con un'accuratezza ≥60% per utenti comuni, inclusi sesso (94.4%), orientamento sessuale (82.9%) e lingua madre (77.8%).
• Percezione della Privacy: Il 72% degli utenti desidera la possibilità di cancellare o correggere le informazioni generate dal modello, anche se l'87% non considera gli output accurati come violazioni della privacy in sé.

4. Contributi Principali

1. Strumento LMP2: Un primo strumento pratico per l'auto-audit della privacy basato su browser che traduce tecniche di ricerca tecnica (canary probing) in un'interfaccia utente interpretabile.
2. Evidenza Empirica: Dimostrazione che i LLM moderni associano in modo stabile e ad alta confidenza attributi sensibili ai nomi degli individui, sia famosi che comuni.
3. Identificazione delle "Friction" (Attriti): Il paper individua nove ostacoli strutturali che rendono difficile l'audit centrato sull'uomo:
   • Il divario tra valutazioni tecniche e audit azionabili.
   • Ambiguità sulla portata dell'audit (cosa conta come "associazione"?).
   • La difficoltà nel distinguere tra memorizzazione, inferenza e semplice "indovinare" basato su prioristiche.
   • Problemi di identificazione indiretta e ambiguità dei nomi.
   • La natura multi-valore e temporale dei dati personali (es. ex-datori di lavoro).
   • Limitazioni linguistiche (lo strumento è attualmente solo in inglese/Latin script).
   • La complessità dei sistemi deployati (tool-augmented) che rendono l'attribuzione delle risposte opaca.

5. Significato e Implicazioni

Il paper evidenzia una crisi di valutazione nell'IA generativa: quando gli output sono probabilistici e dipendenti dal contesto, definire cosa costituisca un'associazione "modello-individuo" è sottodeterminato.

• Distinzione Critica: Gli audit basati sull'output possono stabilire associazioni (il modello collega un nome a un attributo), ma non possono provare la provenienza (se il dato è stato memorizzato, inferito o indovinato). Tuttavia, il danno per la privacy risiede spesso nell'attaccare un'affermazione (corretta o meno) a una persona specifica.
• Implicazioni Legali: Questo sfida l'applicazione del GDPR (es. diritto all'oblio, diritto di rettifica), poiché stabilire la "provenienza" è necessario per le azioni legali, ma tecnicamente difficile da provare solo tramite output.
• Raccomandazioni Future: Per rendere gli audit affidabili e azionabili, è necessario:
  • Definire esplicitamente lo scope dell'audit (cosa si sta misurando).
  • Comunicare la stabilità delle risposte attraverso diverse elicitaioni.
  • Esportare metadati temporali e tracce di esecuzione.
  • Progettare interfacce che supportino la "sensemaking" (comprensione) dell'utente piuttosto che la semplice verifica fattuale.

In sintesi, il paper sposta il focus dalla pura capacità tecnica di estrarre dati alla complessità socio-tecnica di rendere questi audit comprensibili, utili e giuridicamente rilevanti per gli individui.